Vous voulez plus d’amis et de followers ? Les entreprises émergentes les créeront pour vous — moyennant un prix. Une abondance de main-d’œuvre indépendante à faible coût en ligne pose d’énormes défis aux entreprises Internet qui tentent de lutter contre l’abus croissant de leurs services, et a créé un banc d’essai virtuel pour les industries émergentes conçu pour aider une gamme d’activités de cybercriminalité, selon de nouvelles recherches.
Des services gratuits comme Craiglist, Facebook, Gmail et Twitter cherchent depuis longtemps à dissuader les escrocs et les spammeurs en déployant des contre-mesures techniques conçues pour empêcher les activités automatisées, telles que l’utilisation de botnets pour créer de nouveaux comptes en masse. Ces défenses obligent généralement les utilisateurs à effectuer des tâches difficiles à automatiser, du moins en théorie, comme exiger que les nouveaux comptes soient vérifiés par téléphone avant l’activation.
Mais des chercheurs de l’Université de Californie à San Diego ont découvert que ces contrôles de la fraude sont de plus en plus mis en échec par des accords de travail indépendants : les acheteurs « crowdsource » travaillent en publiant les travaux dont ils ont besoin, et les travailleurs répartis dans le monde entier soumissionnent sur des projets qu’ils sont prêts à entreprendre. .
« La disponibilité de ce marché des contrats de location à la demande pour faire à peu près tout ce à quoi vous pouvez penser signifie qu’il est très facile pour les gens d’innover autour de nouvelles escroqueries », a déclaré Stéphane Sauvageprofesseur d’informatique à l’UCSD et co-auteur de l’étude.
L’équipe de l’UCSD a examiné près de sept ans de données provenant de pigiste.com, un marché populaire pour ceux qui cherchent du travail. Ils ont constaté que 65 à 70 % des plus de 84 000 emplois proposés aux enchères pendant cette période semblaient être destinés à des travaux légitimes tels que la création de contenu en ligne et la programmation Web. Le reste était centré sur quatre catégories de ce qu’ils ont qualifié d’emplois « sales », tels que l’enregistrement et la vérification de compte, la liaison avec les réseaux sociaux (achat d’amis et d’abonnés), l’optimisation des moteurs de recherche, la publication d’annonces et l’envoi en masse.
« Bien que peu appréciés, il existe aujourd’hui des marchés dynamiques pour de tels services axés sur les abus », ont écrit les chercheurs. « En quelques minutes, on peut acheter un millier de comptes Gmail vérifiés par téléphone pour 300 $, ou un millier d' »amis » Facebook pour 26 $ – le tout grâce à un travail manuel intensif. »
L’évolution du marché est mieux illustrée par le marché des services qui résolvent en masse les CAPTCHA – ces agglomérations de chiffres et de lettres ondulés que les fournisseurs de messagerie Web et les forums demandent fréquemment aux utilisateurs de saisir avant d’approuver de nouveaux comptes. Les chercheurs ont découvert que le marché de la résolution CAPTCHA était favorisé par les indépendants, mais s’est rapidement étendu aux marchés personnalisés lorsque le modèle s’est avéré rentable à grande échelle. Aujourd’hui, il existe de nombreux services commerciaux qui paient des centimes par jour aux travailleurs à bas salaire en Inde et en Europe de l’Est pour résoudre ces énigmes pour les personnes souhaitant créer un grand nombre de comptes en même temps.
En plus des services disponibles, il existe désormais une forte concurrence entre les services qui contournent les comptes vérifiés par téléphone (PVA). Les services Web tels que Craigslist, Gmail et les institutions financières appellent parfois automatiquement un nouveau créateur de compte, lui lisent un code numérique par téléphone et demandent au nouvel utilisateur d’entrer ce numéro sur un site Web.
L’équipe de l’UCSD a remarqué que la demande de comptes Craigslist vérifiés par téléphone a augmenté rapidement au début de 2008, lorsque Craigslist a introduit la vérification par téléphone pour la section des services érotiques du site. Les chercheurs ont observé que le prix que le marché indépendant supportera pour créer des PVA peut vous en dire long sur la valeur de la vérification par téléphone en tant que mécanisme de sécurité. « Pour Craigslist, les PVA ont rendu l’abus de compte extrêmement coûteux. En revanche, les services de vente au détail vendent des PVA Gmail pour environ 25 cents, une différence de prix de 10 à 20 fois par rapport à Craigslist », ont-ils écrit.
Cette même dynamique alimente désormais la concurrence entre les services qui offrent la possibilité de générer un grand nombre de faux « abonnés » Twitter et « amis » Facebook ; ces services sont populaires parmi les spammeurs et les escrocs qui les utilisent pour rendre leurs pages plus légitimes et dignes de confiance.
Alors que la demande pour ces nouveaux services à la personne continue d’augmenter, les entrepreneurs sont intervenus pour regrouper la main-d’œuvre. Savage a déclaré que la demande globale de liens de réseaux sociaux a monté en flèche depuis le début de 2010, suggérant que les spammeurs n’ont réalisé que récemment le potentiel de monétisation des liens sociaux.
« Qu’il s’agisse d’acheter des amis pour un réseau social ou de vérifier par téléphone de nouveaux comptes, au fil du temps, si un nouveau modèle commercial particulier a du sens, il est déplacé du marché des indépendants vers son propre service autonome », Savage mentionné.
Besoin d’un tas d’abonnés Twitter dès que possible ? Des endroits comme le twitterfollowershop.com et achetertwitterfollowers.com chargez entre 17 $ et 24,95 $ pour 1 000 abonnés. J’ai appelé le numéro de téléphone trouvé dans les enregistrements d’enregistrement WHOIS pour twitterfollowershop.com, et un gars nommé « Pat » a répondu. Il m’a dit que le service est alimenté par le travail manuel en Asie.
« Nous avons des gens à l’étranger qui suivent manuellement les utilisateurs », a-t-il déclaré.
Vous voulez des comptes vérifiés par téléphone sur Facebook, Craigslist, YouTube et Twitter ? Buypvanow.com, comptevérifiémonster.com et beaucoup d’autres vendront des comptes vérifiés par centaines.
Le document UCSD décrivant la recherche plus en détail est disponible ici (PDF).